許多人使用 Cloudflare，第一印象就是「可以加速網站、擋攻擊」。背後的原因是 Cloudflare 本質上是一個 全球分布的反向代理網路。只要 DNS 綁上 Cloudflare，所有訪客流量都會先進到 Cloudflare，再由 Cloudflare 轉送到你的源站 (Origin)。這樣的網路架構，會影響入口 IP 與來源 IP，同時也讓 Cloudflare 有能力在中間做許多額外的功能。

如上圖所示，上面是原始架構未導入Cloudflare，網路流量直接訪問網頁伺服器。導入Cloudflare後，入口將改到Cloudflare上，將網頁伺服器保護起來。

1. Cloudflare 的入口 IP 與來源 IP 改變

當使用者要存取網站時，流程是這樣的：

1. 使用者透過 DNS 查詢到的不是源站 IP，而是 Cloudflare 的 Anycast IP。
2. 請求會進入離使用者最近的 Cloudflare 節點。
3. Cloudflare 再將請求轉發給源站。

這帶來兩個影響：

• 入口 IP 改變：使用者連線的 IP 是 Cloudflare 公佈的 IP，而不是源站真實 IP。因此保護了源站 IP 暴露在網路上。一個 Zone（該網域及子網域） 的 IP 會相同，會是兩個 Cloudflare IP，基本上不太會變動，但是 Cloudflare 不保證他永遠不變。
• 來源 IP 改變：對伺服器來說，請求來源會顯示成 Cloudflare 的節點 IP，而不是使用者真實 IP。來源 IP 詳見 Cloudflare 文件。

如果需要在伺服器端看到真實 IP，就要依賴 Cloudflare 提供的 CF-Connecting-IP 標頭。

2. SSL 憑證在 Cloudflare 架構中的角色

因為 Cloudflare 是反向代理，TLS/SSL 會先在 Cloudflare 節點終止 (TLS Termination)，這代表：

使用者與 Cloudflare 之間的連線會使用 Cloudflare 提供的憑證，該憑證 Cloudflare 會自動簽署 Let's Encrypt，也可以上傳外面購買的憑證。

這樣一來，Cloudflare 不但保護了訪客端到邊緣節點的安全，也能確保邊緣節點到源站的通訊安全。

3. Cloudflare 作為反向代理的能力

Cloudflare 並不只是轉送流量，它是一個智慧化的流量中繼站，可以在中間層處理：

• 快取 (Caching)：靜態資源、API 回應可快取在邊緣。
• WAF (Web Application Firewall)：攔截惡意請求，例如 SQL Injection、XSS、Bot 攻擊。
• ZTA (Zero Trust Access)：內部應用可透過 Cloudflare Zero Trust 控制身份驗證與存取。
• 修改標頭與內容：透過 Transform Rules 或 Workers，可以改寫 HTTP 標頭，甚至修改回應內容。
• DDoS 防護：惡意攻擊會先被 Cloudflare 邊緣吸收，而不會直接打到源站。

結語

Cloudflare 的核心就是 反向代理 + 全球邊緣節點。這種架構帶來了 IP 改變 的特性，也需要把 SSL 憑證放在正確的地方，確保從訪客到 Cloudflare、再到源站的整個流程都安全。正因如此，Cloudflare 才能在流量中間加入快取、WAF、防護、甚至零信任控管。Cloudflare 不只是 CDN，而是一個 完整的網路安全與效能平台。

福州世祖胡椒餅

• 店名：福州世祖胡椒餅
• 地址：新北市板橋區南雅東路27之9號
• 營業時間：晚上
• 無 Google Maps
• 本系列地圖

位於上一家排骨酥湯對面，外酥里香，好吃的胡椒餅